Size: a a a

Nuxt.js | Vue SSR

2021 January 30

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Ибо авторизация это стейтлесс-сущность, нужно как-то подтверждать факт того, что текущий пользователь авторизован
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Токеном/сессией, не важно
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Но лучше сессией :)
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
У тебя браузер вообще не в курсе про бэкенд изначально
источник

A

Alexey in Nuxt.js | Vue SSR
Nathan 🦊 Perk @RF (худеет)
Токен проще угнать, чем сессию
Чем проще? Поясните.
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Alexey
Чем проще? Поясните.
Токен у тебя лежит в куки/сторадже. К этому токену имеет доступ как JavaScript (причем не обязательно тот, который у тебя в бандле), так и сам юзер напрямую
источник

AD

Aleksandr Dergunov in Nuxt.js | Vue SSR
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Предположим, я написал вредонос, который тыркает токены с клиента
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Я забрал этот токен и через постман отправил запрос на изменение пароля у юзера
источник

V💊

Vladimir 💉 💊 Voytenk... in Nuxt.js | Vue SSR
господи. пожалуйста, пиши по меньше сообщений в столбик
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Поздравляем, я теперь имею доступ ко всей инфе, которую может отдать твоя апишка.
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
С сессиями сложнее. Очень часто помимо ключа сессии на фронте хранится еще и CSRF-токен, который не даст мне возможности отправлять запросы извне SPA-приложения, а ключ сессии мне ничего не даст в принципе.

Сервер просто не примет запрос, ссылаясь на неверный CSRF-токен.
источник

A

Alexey in Nuxt.js | Vue SSR
А как вы будете "Запоминать" пользователя на сессиях? Вам придется использовать cookie
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Alexey
А как вы будете "Запоминать" пользователя на сессиях? Вам придется использовать cookie
к httpOnly куке JS доступа не имеет.
источник

A

Alexey in Nuxt.js | Vue SSR
Интересно как вообще злоумышленник внедрит свой JS к вам?)
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Alexey
Интересно как вообще злоумышленник внедрит свой JS к вам?)
про XSS-атаки не слышал?
источник

A

Alexey in Nuxt.js | Vue SSR
Вот именно, это уже ваш косяк, если у вас есть XSS
источник

A

Alexey in Nuxt.js | Vue SSR
90% сайтов сидят на куках и локалсторадже и не парятся
источник

R

RusaXXX in Nuxt.js | Vue SSR
Nathan 🦊 Perk @RF (худеет)
С сессиями сложнее. Очень часто помимо ключа сессии на фронте хранится еще и CSRF-токен, который не даст мне возможности отправлять запросы извне SPA-приложения, а ключ сессии мне ничего не даст в принципе.

Сервер просто не примет запрос, ссылаясь на неверный CSRF-токен.
Тема эта уже заезжена. Уже ваш crfc токен не нужен  потому что есть same-site cookie
источник

NP

Nathan 🦊 Perk @RF (х... in Nuxt.js | Vue SSR
Alexey
Вот именно, это уже ваш косяк, если у вас есть XSS
Абсолютно не мой. Если ты используешь JWT ради авторизации SPA - поздравляю, ты переизобрел сессии.
источник